Mac: Massive Sicherheitslücke namens „Thunderstrike“ entdeckt

Ein Sicherheitsexperte hat eine gravierende Sicherheitslücke bei Macs entdeckt. Trammel Hudson hat bewiesen, dass es vergleichsweise einfach ist, den Boot-Chip eines Macs, und damit auch das Betriebssystem, mit Schad-Software über den Thunderbolt-Anschluss zu infizieren. Eine Entfernung der Schad-Software ist beinahe unmöglich. Apple hat jedoch bereits angekündigt, dass zukünftige Geräte gegen „Thunderstrike“ immun sein sollen.

Von   Uhr

Der Sicherheitsexperte Trammell Hudson hat einen Weg gefunden, um Macs mit Schad-Software zu infizieren. Der Experte stellte die Sicherheitslücke während seines Vortrags auf dem derzeit stattfindenden 31. Chaos Communication Congress (31C3) in Hamburg vor. Hudson hat die Sicherheitslücke „Thunderstrike“ getauft und Apple bereits darüber informiert.

Trammell Hudson ist es gelungen über die Thunderbolt-Schnittstelle Schad-Software in Apples Boot-Chip zu schleusen. Dabei infizierte er zunächst die Firmware OptionROM eines externen Geräts mit Thunderbolt-Anschluss. Anschließend schloss er das Gerät an einen Mac an. OptionROM kommunizierte nun mit dem Boot-Chip des Macs, auf dem Apples Software BootROM installiert ist. Dabei übertrug sich die Schad-Software automatisch auf den Boot-Chip auf dem Logicboard des Macs.

Der Boot-Chip ist die Schnittstelle zwischen der Hardware und dem Betriebssystem. Startet der Nutzer seinen Mac, wird als erstes BootROM hochgefahren, erst danach OS X. Eine Neuinstallation von OS X bereinigt den Mac deshalb nicht von der Schad-Software. Auch eine Bereinigung des Boot-Chips durch Apple ist beinahe unmöglich, da Thunderstrike nicht nur Schad-Software in BootROM einschleust, sondern auch Apples Signatur durch eine eigene austauscht und damit weitere Änderungen an BootROM verhindern kann.

Die Konsequenz: Der Nutzer hat die Kontrolle über seinen Mac verloren. Der Hacker kann über die Schad-Software anschließend das Betriebssystem OS X infiltrieren.

Apple hat sich zu dieser Sicherheitslücke bereits geäußert. Neue Modelle sollen nicht mehr auf diese Weise angreifbar sein. Ob es auch ein Sicherheits-Update für bereits ausgelieferte Geräte geben wird, ist noch unbekannt.

Diskutiere mit!

Hier kannst du den Artikel "Mac: Massive Sicherheitslücke namens „Thunderstrike“ entdeckt" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

aba aba macs sind doch so sicher :(

Im Vergleich zu Windroiden wesentlich sicherer. Korrekt.

Ja, sie sind ja auch sicher!
Um diese Lücke auszunutzen muss jemand an meine Thunderboltschnittstelle kommen! Das ist ja nicht mal eben gemacht!

Und er muss ein Gerät, welches er anschliessen will verändern. Für Dummtrolle zu hohe Anforderungen.

Ausserdem kann man dem BootRom ein Passwort zuteilen. Damit dürfte Thunderstrike geerdet sein.

Nein, das bringt nichts. https://trmm.net/Thunderstrike

Stecke keine fremden Geräte und Sticks an USB oder Tunderbold, das gilt für jeden Computer. Das man mit physischen Zugang zum Computer diesen übernehmen kann ist eh klar! Außerdem es geht viel einfacher: ich kann ja einfach jeden Mac von einem bootfähigen USB Stick starten. Habe ich auf dem auf dem Stick liegenden System ein Administrator Account, kann ich mit dem Mac machen was ich will! Mich wundert das dieses Feature noch nicht von selbsternannten Sicherheitsexperten zun Skandal aufgeblassen wurde.

Weil es sich ausschalten lässt.

Wo bitte kann ich das ausschalten, das man von anderen Startvolumen
en booten kann?

Ausschalten nicht, aber Firmware Password setzen.

Wenn ich das richtig verstanden habe wird der OptionROM vor der Passwortabfrage geladen womit das kein Hindernis sein dürfte.

Das kannst du nicht

Der dumme Grabmair glaubt, dass die Sicherheitslücke "Thunderstrike" heisst. Dabei ist das der Name des proof of concept (POC). LOL

Ach und du fühlst dich jetzt toll, weil du anonym jemand beleidigt hast. Sehr einfach strukturierter Geist!

Wie kann man Schad-Software ins BootROM einschleusen.
ROM ist doch Read-Only-Menory

Früher waren das echte ROM, heute sind es Beschreibbare Flash. Aber mit Passwort werden sie wieder etwas mehr ROM. Ich glaube der CCC ist auch nicht mehr so ganz fit bei seinen Bewertungen. Die Lücke ist schon immer nicht vorhanden. Einzig als Anwender muss man einfach den Schlüssel rumdrehen.

offensichtlich nicht ganz so readonly

Macht auch Sinn. Sonst würden die Leute wieder meckern sollte es ein Bootsystem Update geben. Aber wie schon gesagt. Einfach Passwort aktivieren und andere Viren bleiben aussen vor. Wieder mal viel heisse Luft um ein nicht vorhandenes Problem.

.
Mancher Mac hat gar keinen Thuntherbolt - Anschluss, - dann wird's
nochmal schwieriger . ... :)

ironie on
apple hat doch schon am 13.11 einen THB Patch gebracht...
mit Erfolg, mein THB Display blieb für immer Schwarz *ggg
bin schon gespannt was dabei raus kommt..
ironie off

Der Grund, warum Thunderstrike bisher nicht bisher nicht gekillt wurde ist, weil die NSA diese Lücke verwendet, um neue Macs zu "modifizieren". So können diese Geräte bestimmte "Kunden" erreichen, die observiert werden sollen. Das ist doch total klar. Warum ist da bisher keiner drauf gekommen? Zukünftig - und auch schon in der näheren Vergangenheit werden Rechner nur noch von unverdächtigen Mittelsmännern gebraucht gekauft. Ääätsch. NSA, geh doch wo Du wohnst!

.
Wahrscheinlich haben Sie auf diese Weise OBL ausfindig gemacht,
damit hatte er am Wenigsten gerechnet .......

Du glaubst doch nicht im Ernst, daß der mit einem Computer umgehen konnte, oder?

Wer immer Ihr aus seid, woher immer Ihr auch kommt, nachdenken und real research habt Ihr leider nicht gelernt!
Kein System ist sicher egal was euch die Hersteller oder auch sourceforge erzählen will.......di Türen sind weit offen und das werden sie auch bleiben!

Die Kommentare für diesen Artikel sind geschlossen.